Je suis dans une situation où les utilisateurs peuvent définir CSS pour des zones spécifiques du site qu'ils gèrent. Ils sont capables d'insérer des ressources distantes dans ce document, puis de consigner les demandes d'adresses IP adressées à ces ressources par les utilisateurs invités visitant leurs pages.Pouvez-vous définir la politique de même origine pour qu'elle soit plus stricte?
À défaut d'ajouter un système de purification qui filtre les URL distantes, y a-t-il un moyen d'indiquer au client de ne pas faire ANY demandes étrangères? Mon site est 100% autonome à l'origine et ne fait aucune demande de CDN étranger. Je le veux essentiellement pour que toute demande étrangère soit bloquée.
Pas une suggestion terrible mais à peine à l'épreuve des balles. C'est au navigateur de le faire ou pas et un "attaquant" déterminé pourrait facilement choisir d'utiliser un [navigateur qui ne le supporte pas] (http://caniuse.com/#feat=contentsecuritypolicy). – Michael
Eh bien oui, c'est au navigateur d'être un logiciel sûr ou non. Si un utilisateur utilise un navigateur non sécurisé, c'est un choix qu'il a fait. Comment est-ce important quel navigateur utilise un pirate? – C14L
Excellent, merci. – Josh